Перед каждым банком, находящимся на этапе вы­бора системы самообслуживания клиентов на основе пластиковых карточек, возникает комплекс технологи­ческих и технических проблем. Одной из наиболее важных в контексте разработки проекта пластиковых карточек является проблема выбора технологии обме­на информацией, с одной стороны, собственно в сис­теме банка и, с другой стороны, между банком и процессинговым центром платежной системы, с которой работает банк. Корректная постановка задачи и гра­мотный выбор путей ее решения являются необходимы­ми условиями успешной реализации проекта. Правила информационного обмена влияют на выбор аппаратно-программных средств, средств связи и коммуникаций, на систему обеспечения безопасности. Ошибки на тех­нологическом уровне, связанные как с недостаточной информированностью специалистов банка, так и с рез­кой сменой приоритетов руководства, могут привести не только к существенным финансовым потерям банка при реализации этого проекта, но даже к тупиковому пути развития программы пластиковых карточек. По на­шему мнению, для успешного продвижения банка в этом направлении необходимо ориентироваться на стандартные, проверенные многолетним опытом реше­ния. Этот путь позволит банку легко интегрироваться и в существующие международные платежные ассоциа­ции, и в российские системы расчетов с помощью пла­стиковых карточек.

Настоящая статья посвящена технологии информа­ционного обмена в системах расчетов с использованием пластиковых карточек. В ней рассматриваются способы подключения и режимы взаимодействия участников сис­тем расчетов по карточкам. Наибольшее внимание при описании технологии информационного обмена уделено «он-лайн» и «оф-лайн» режимам взаимодействия, их свойствам и отличительным признакам. Часто поверхно­стный взгляд на эти режимы взаимодействия порождает представление, что режим реального времени характе­ризует только системы на основе карточек с магнитной полосой, пакетный режим применим только для систем на основе карточек с микросхемой. Такой упрощенный подход к переходу от технологического уровня проекта к уровню его технической реализации зачастую может привести к однобоким негибким решениям.

Задача этой статьи - не касаясь конкретных техни­ческих решений и стоимостных характеристик проек­тов, отразить основные признаки систем, работающих в режимах «он-» и «оф-лайн», и показать возможности сочетания этих режимов.

Читайте также:

ИТ-направления, которые будут наиболее востребованы

Терминология

Для описания технологии проведения операций в статье будут использоваться следующие понятия.

Участники систем расчетов - Банки-Эмитенты, Об­служивающие Банки, процессинговые Центры системы.

Банк-Эмитент - банк, осуществляющий эмиссию карточек.

Обслуживающий Банк - банк, осуществляющий обслуживание держателей карточек и расчеты с тор­говыми предприятиями за счет собственных средств.

Процессинговый Центр - технологическая компа­ния, обеспечивающая информационное взаимодейст­вие между участниками системы.

Транзакция - инициируемая держателем карточки последовательность сообщений, вырабатываемых участ­никами системы и передаваемых от участника к участни­ку для обслуживания держателя карточки. Основные свойства транзакции:

- неделимость (должны выполняться все составляю­щие транзакцию операции или не выполняться ни одна);

- согласованность (транзакция не нарушает кор­ректности информации в базах данных карточек, сче­тов и остатков);

- изолированность (отдельно взятая транзакция не зависит от других);

- надежность (завершенная транзакция может вос­станавливаться после сбоя, а незавершенная - отме­няться).

Авторизация - процедура выдачи разрешения Бан­ком-Эмитентом Обслуживающему Банку на проведе­ние операции клиента.

Авторизация по схеме floorlimit - процедура автори­зации, предусматривающая, в зависимости от наличия в платежной системе, несколько уровней ответственности за выдачу разрешения на проведение операции:

- если сумма сделки не превышает лимит точки об­служивания (localfloorlimit, или domesticfloorlimit, или merchantfloorlimit), то решение о продаже (предоставле­нии услуг) на сумму, не превышающую лимит, принимает­ся самостоятельно продавцом после визуального контро­ля карточки и проверки ее отсутствия в стоп-листе;

- если сумма сделки больше лимита точки обслужи­вания, но не превышает лимита платежной системы при обслуживании держателей карточки из других стран (internationalfloorlimit), то решение об осуществлении сделки принимает обслуживающий банк на основании данных, полученных из точки обслуживания, а также ин­формации о держателе карточки (его лимитах, совершенных сделках и т. д.), хранящейся в базе данных (раз­мещение базы данных зависит от конкретной организа­ции хранения данных в платежной системе);

 Подключение Банка-Эмитента и Обслуживающего Банка к Процессинговому Центру в режиме реального времени ;.

- если сумма сделки превышает лимит, установлен­ный платежной системой, то запрос авторизации пере­дается в процессинговый центр, где и осуществляется процесс принятия решения.

Взаимодействие участников

В банковских системах расчетов на основе пласти­ковых карточек существуют следующие информацион­ные взаимосвязи:

-   Банк-Эмитент - Процессинговый Центр системы,

- Обслуживающий Банк - Процессинговый Центр системы,

- Обслуживающий Банк - устройство (в отделении банка или на предприятии торговли и/или сервиса),

-  Банк-Эмитент - счет держателя карточки.

Рассмотрим последовательно взаимодействие меж­ду этими парами с учетом места хранения финансовой информации о лимитах держателя карточки, на осно­вании которой проводится авторизация.

Способы подключения Банка-Эмитента к Процессинговому центру и режимы взаимодействия между ними

Рассмотрим случай, когда финансовая информация хранится в системе банка, а карточка содержит толь­ко ссылку на место ее хранения в системе.

Банк-Эмитент может быть подключен к процессинговому центру в режиме реального времени.

В этом случае банк самостоятельно ведет базу данных карточек, счетов, балансов и лимитов. Кроме этого, банком ведется стоп-лист (negative-file). При поступле­нии из процессингового центра сообщения о финансо­вой транзакции банк самостоятельно проводит автори­зацию, осуществляя ряд проверок, в числе которых могут быть проверка наличия карточки в базе данных, проверка срока действия карточки, проверка наличия карточки в стоп-листе, проверка лимитов (ограничений на число и объем операций по карточке за определен­ный временной интервал), проверка числа неправильно набранных персональных идентификационных кодов держателя карточки, проверка баланса и т. д.

После этого хост-система банка формирует сооб­щение, которое либо разрешает, либо запрещает про­ведение операции и отправляет его в процессинговый центр.

Будучи подключенным в режиме реального време­ни, банк может обрабатывать часть транзакций в па­кетном режиме.

Если в системе предусмотрен так называемый stand-in режим, то в случае недоступности хост-систе­мы Банка-Эмитента для процессингового центра по различным причинам (природа этих причин не имеет су­щественного значения для технологического описания, но можно привести примеры, связанные с нарушения­ми линий связи, недостаточной скоростью обработки транзакции банком, выход из строя хост-системы банка и т. д.),

 Подключение Банка-Эмитента к Процессинговому Центру в пакетном режиме

авторизацию по таким транзакциям может проводить центр. Режим stand-in может быть предусмот­рен как для всех карточек определенного типа, так и для каждой карточки. В этом случае по поручению банка на хост-системе процессингового центра также ведется некоторая база данных, на основании которой процессинговый центр проводит stand-in авторизацию. Как управление такой базой данных, так и получение информации о транзакциях своих держателей Банк-Эмитент осуществляет в пакетном режиме. Кроме то­го, в пакетном режиме Банк-Эмитент получает инфор­мацию о транзакциях своих клиентов, авторизованных на основании установленных лимитов.

Подключение банка к процессинговому центру в пакетном режиме (рис. 2) можно рассматривать как перманентный stand-in процессинг. Банк-Эмитент пору­чает ведение баз данных карточек и лимитов, а также проведение авторизации на основе этих данных процессинговому центру. Процессинговый центр осуществ­ляет авторизацию транзакции в соответствии с имею­щимися у него данными и указаниями Банка-Эмитента и несет ответственность за правильность ее проведе­ния. При этом часть транзакций может идти с автори­зацией в режиме реального времени, а часть - с авто­ризацией на основании установленных лимитов (floorlimit, если этот механизм используется в системе). Та­ким образом, в процессинговом центре возникает вто­рая база данных, которая является основной для авто­ризации, но лишь информационной в части управления базой данных реальных счетов и балансов в Банке-Эмитенте.

Хотя авторизация транзакций проходит в режиме реального времени, состояние счетов держателей кар­точек в Банке-Эмитенте в период между двумя проце­дурами взаиморасчетов в системе неизвестно. Поэтому банк не имеет возможности проводить операции по этим счетам, минуя процедуру авторизации в процес­синговом центре, иначе может быть зафиксирован овердрафт по некоторым счетам. В этом состоит одно из неудобств такого режима взаимодействия.

Предположим, карточка несет финансовую инфор­мацию о состоянии счета ее держателя, например, Банк-Эмитент записывает на карточку запрошенную сумму в пределах остатка. Чаще всего такая схема предусматривает подключение Банка-Эмитента к процессинговому центру в пакетном режиме. Не исключается подключение и в режиме реального времени, но тогда теряется смысл занесения информации об остат­ке на счете клиента на карточку, поскольку появляет­ся возможность авторизации через хост-систему Банка-Эмитента. Действительно, достаточно проведения про­цедуры авторизации между картой и терминалом Об­служивающего Банка (процедура авторизации описы­вается в следующем разделе) и передачи в Банк-Эми­тент на периодической основе информации о совер­шенных по карточке операциях.

Способы подключения Обслуживающего Банка к процессинговому центру и режимы взаимодействия между ними

Обслуживающий Банк подключен к процессин­говому центру в режиме реального времени, то есть обладает хост-системой со специализированным при­кладным программным обеспечением, выполняющим функции front-office (управление банкоматами, элек­тронными терминалами, голосовой авторизацией, ин­терфейсными модулями к банковской системе и к про­цессинговому центру платежной системы). Обслужива­ющий Банк самостоятельно управляет своими устрой­ствами, производит захват транзакций от устройств и пересылку их в процессинговый центр. Если в системе разрешена авторизация с использованем лимитов (floorlimit), то ряд транзакций будет накапливаться в терми­нале и периодически пересылаться на хост-компьютер Обслуживающего Банка и далее - в процессинговый центр. При сумме транзакции, превышающей установ­ленный лимит (или если авторизация по лимитам в си­стеме не используется), производится отправка тран­закции в процессинговый центр.

Обслуживающий Банк делегирует право управ­ления сетью оконечных устройств другому участни­ку платежной системы (процессинговому центру или банку). Это - подключение Обслуживающего Банка к системе в пакетном режиме (рис. 3).

Обслуживающий Банк получает отчет о всех тран­закциях в его устройствах за период между двумя вза­иморасчетами после проведения очередной процедуры взаиморасчетов. Работа же устройств и их взаимодей­ствие с хост-системой будет осуществляться аналогич­но предыдущему случаю.

 Подключение Обслуживающего банка к Процессинговому Центру в пакетном режиме

Держатель карточки - оконечное устройство (кар­точка-терминал)

Держатель карточки инициирует транзакцию, кар­точка и устройство обмениваются информацией. В за­висимости от способа подключения Банка-Эмитента к процессинговому центру, от конкретных видов уст­ройств и карточек, от установленных в системе правил информационного обмена путь транзакции различен.

Предположим, карточка содержит финансовую информацию (лимит операций и т. д.). Дебетование средств на карточке осуществляется в режиме реаль­ного времени после проведения авторизации. При этом карточка с микропроцессором выступает в роли мо­бильного элемента распределенной базы данных Банка-Эмитента и выполняет функции процессингового микро­центра. Процесс авторизации начинается с взаимного опознания карточка-терминал, или аутентификации. Ес­ли эта процедура завершается успешно, держатель карточки может вводить RIN-код (персональный иденти­фикационный номер), на основании которого происхо­дит идентификация держателя карточки. После ввода суммы карточка проверяет ряд параметров, в числе ко­торых отсутствие карточки в стоп-листе, непревышение лимитов. Если указанные параметры отвечают критери­ям обслуживания, то карточка дает разрешение на проведение транзакции. Таким образом, по отношению к паре карточка-терминал авторизация проходит в ре­жиме реального времени, но Банк-Эмитент сможет по­лучить информацию об этой операции и дебетовать ре­альный счет клиента только после проведения в систе­ме процедуры сбора транзакций с терминалов.

Возможны случаи, когда карточка, терминал или непосредственно продавец принимают решение о проведении «он-лайн» авторизации для конкретной тран­закции, или в самой платежной системе установлено обязательное проведение «он-лайн» авторизации для определенного типа устройств (например, банкома­тов).

Карточка не содержит финансовой информации. Если осуществляется «он-лайн» авторизация, то дебетование счета держателя карточки в Банке-Эмитенте (или лимита в процессинговом центре) происходит в режиме реального времени.

При авторизации по лимитам происходит поиск карточки в стоп-листе. Если номер карточки отсутству­ет в стоп-листе, и сумма транзакции не превышает ус­тановленной величины, обслуживание проводится авто­матически. Дебетование счета держателя карточки происходит после получения Банком-Эмитентом отчета о транзакциях клиентов в пакетном режиме.

Оконечное устройство (банкомат, электронный терминал, импринтер) - Обслуживающий Банк

Режим взаимодействия будет зависеть от способа подключения Обслуживающего банка к процессинго­вому центру, конкретных видов устройств и типов кар­точек, от установленных в системе правил информаци­онного обмена. Во всех случаях для Обслуживающего Банка «он-лайн» режим обработки транзакций возмо­жен лишь в случае его подключения к системе в режи­ме реального времени.

Банк-Эмитент - держатель карточки

В рамках этой статьи интересно будет проследить взаимодействие Банк-Эмитент-счет и счет-карточка.

Взаимодействие Банк-эмитент-счетосуществляется через операции со счетом держателя карточки и зави­сит от способа подключения Банка-Эмитента к процессинговому центру, правил информационного обмена и типа карточек. Если все транзакции для Банка-Эмитента проходят в «он-лайн» режиме, то дебетование счета держателя карточки также производится в режиме ре­ального времени. Дебетование счета по «оф-лайн» тран­закциям будет происходить в пакетном режиме.

Характер операций счет-карточкаразличен для карточек, содержащих и не содержащих финансовую информацию, и зависит от конкретного вида карточки и правил, принятых в платежной системе. При этом карточки, не содержащие финансовой информации, яв­ляются средством доступа к счету. Карточки, содержа­щие финансовую информацию, выполняют функции «электронного кошелька» или средства доступа к сче­ту или совмещают обе функции.

Положительные и отрицательные моменты обработки транзакций в режиме реального времени

Основные проблемы, возникающие при обработке операций в режиме реального времени, - это обеспече­ние функционирования средств связи и телекоммуника­ций, значительный трафик транзакций и необходимость аппаратно-программных решений для OLTP⁹ -приложений.

Операции

Отрицательные моменты для держателя карточки:

- время прохождения транзакции при «он-лайн» ав­торизации существенно выше, чем при «оф-лайн» авто­ризации.

Положительные моменты для держателя карточки:

- промежуток времени между внесением средств на счет и поступлением их в базу данных Банка-Эмитента минимален, практически сразу можно использовать эти средства в операциях с карточками;

- возможность оперативного блокирования карточ­ки при ее утере или хищении;

- карточка, не содержащая финансовой информа­ции, является средством доступа к счету, а не «элек­тронным кошельком». Поэтому при потере или хище­нии карточки в случае своевременного уведомления эмитента сохранность средств на счете гарантируется Банком-Эмитентом;

- суммарный лимит на корпоративном счете может превышать 100%;

- на хранящиеся на счете средства банк начисляет проценты;

- возможно использование различных финансовых инструментов для доступа ко всей сумме, хранящейся на счете;

Таблица 1

счет-карточка

Отрицательные моменты для Банков-Эмитентов:

- необходимость установки специализированного оборудования и программного обеспечения;

- необходимость подключения к сетям передачи данных или аренды выделенных каналов связи;

- уплата комиссионного вознаграждения процессинговому центру за маршрутизацию транзакций клиентов Банка-Эмитента.

Положительные моменты для Банков-Эмитентов:

Банк-Эмитент, обрабатывая транзакции в режиме реального времени, имеет возможность:

- управлять счетами держателей карточек;

- оперативно блокировать карточки и счета;

- устанавливать курс конвертации валюты при дебетовании-кредитовании счетов держателей карточек;

- не выплачивать комиссионных вознаграждений си­стеме за авторизацию транзакций своих клиентов.

- существует возможность оплачивать покупки и по­лучать наличные с конвертацией по курсу сети.

Отрицательные   моменты   для   Обслуживающих банков:

- необходимость использования специализирован­ного оборудования и программного обеспечения;

- необходимость подключения к сетям передачи данных или аренды выделенных каналов;

- самостоятельный захват и отправка транзакций в процессинговый центр требует развития собственной сети передачи данных или подключения к существую­щим сетям для обеспечения функционирования бан­ковских терминалов и банкоматов.

Положительные  моменты   для   Обслуживающих Банков:

- самостоятельная обработка транзакций своих клиентов в режиме реального времени позволяет Обслуживающему Банку  не   выплачивать   комиссионных вознаграждений системе за обработку транзакций.

⁴Как правило, c «он-лайн» авторизацией.

⁵Как правило, небольшие суммы - с авторизацией на основе введенного PIN-кода или с «оф-лайн» авторизацией на основании подписи.

⁶Возможно опосредованное кредитование кошелька в «оф-лайн» режиме из отделения для хранения крупных сумм, предварительно кредитованного со счета в «он-лайн» режиме.

⁷Как правило, с «он-лайн» авторизацией, реже - с авторизацией по лимитам.

⁸С «оф-лайн» авторизацией на основе подписи или PIN-кода.

⁹On-LineTransactionProcessing - обработка тракнзакций в режиме реального времени.

Положительные и отрицательные моменты обработки транзакций в пакетном режиме

Отрицательные моменты для Банков-Эмитентов:

Банк-Эмитент, обрабатывая транзакции в пакетном режиме:

- не имеет возможности оперативно управлять сче­тами держателей карточек;

- запрещает держателю карточки использовать раз­личные финансовые инструменты для доступа к счету;

- не имеет возможности оперативно блокировать кар­точки и счета. Возможность оперативно блокировать карточки и счета зависит от установленных в системе правил информационного обмена. Если все транзакции обрабатываются процессинговым центром в режиме ре­ального времени, то оперативное блокирование карточ­ки на определенный правилами системы срок осуществ­ляется по телефонному звонку (факсу, телексу) в процессинговый центр. Если авторизация всех или части транзак­ций происходит в пакетном режиме, то необходима рас­сылка стоп-листов по оконечным устройствам. При этом возникает ряд проблем, в частности:

- проходит определенное время с момента внесе­ния карточки в стоп-лист до начала рассылки оконечным устройствам и от начала рассылки до получения стоп-листа всеми оконечными устрой­ствами;

- размер стоп-листа ограничен объемом памяти используемых в системе POS-терминалов и бан­коматов;

- не может устанавливать курс конвертации валюты при дебетовании-кредитовании счетов держателей кар­точек (устанавливается либо курс сети, либо курс Об­служивающего Банка);

- самостоятельно ведет базы данных карточек, сче­тов и остатков.

Положительные моменты для Банков-Эмитентов:

- нет острой необходимости устанавливать дорогое специализированное оборудование и программное обеспечение, как при подключении в режиме реально­го времени;

- процессинговый центр несет ответственность за производимые им «он-лайн» авторизации транзакции при подключении Банка-Эмитента к системе в пакет­ном режиме;

- возможность экономии на уплате комиссионного вознаграждения процессинговому центру при авториза­ции транзакций в пакетном режиме.

Отрицательные моменты для держателя карточки:

- промежуток времени между внесением средств на счет и поступлением их в базу данных Банка-Эмитента составляет несколько часов, и до поступления на счет невозможно использовать эти средства в операциях с карточками;

- Банк-Эмитент начисляет проценты на средства, хранящиеся на счете, но на сумму, прописанную на карточке, проценты не начисляются;

- невозможно использование различных финансовых инструментов для доступа ко всей сумме, хранящейся на счете. Если карточка может выполнять функции «электронного кошелька», то в этот кошелек помеща­ется некоторая сумма, фактически, она изъята с ос­новного счета, и держатель карточки имеет доступ к этой сумме лишь посредством карточки;

- невозможно оперативно заблокировать карточку. Это зависит от установленных в системе правил инфор­мационного обмена и не относится к схеме обработ­ки всех транзакций Банка-Эмитента процессинговым центром в режиме реального времени. В этом случае держатель карточки может оперативно заблокировать ее на определенный правилами срок, позвонив в про­цессинговый центр. Если же все транзакции или их часть обрабатываются в пакетном режиме, в этом слу­чае требуется рассылка стоп-листов по всем оконеч­ным устройствам. Проходит определенное время с мо­мента заявления клиента об утрате карточки до внесе­ния ее номера в стоп лист, от внесения номера карточ­ки в стоп-лист до начала его рассылки оконечным уст­ройствам и от начала рассылки до получения стоп-ли­ста всеми оконечными устройствами;

- при потере или хищении карточек, содержащих финансовую информацию, держатель несет ответствен­ность за сохранность средств на карточке и счете до окончания рассылки стоп-листов, содержащих номер карточки, оконечным устройствам.

Положительные моменты для держателя карточки:

- высокая скорость операций с карточкой (при «оф-лайн» авторизации).

Отрицательные моменты для Обслуживающих Бан­ков:

- необходимость проведения сеансов связи с око­нечными устройствами при подключении к процессин­говому центру в пакетном режиме;

- необходимость рассылки стоп-листов в каждое оконечное устройство.

Положительные  моменты   для   Обслуживающих Банков:

- самостоятельная обработка транзакций своих клиентов в пакетном режиме позволяет Обслуживаю­щему Банку не выплачивать за это комиссионных воз­награждений системе;

- возможность установления в оконечном устройст­ве собственного курса конвертации.